IBM Support

QRadar: カスタム SSL 証明書のトラブルシューティング

Troubleshooting


Problem

カスタム SSL 証明書をインストール後、証明書が正しく照合できません。本資料では、本事象のトラブルシューティングについて説明します。

Symptom

カスタム SSL 証明書が正しく検証されないと、ユーザー・インターフェース ( UI ) の停止、あるいは API と接続するアプリケーションの問題により、アプリケーション機能に影響を与える原因となる可能性があります。

Diagnosing The Problem

 QRadar コンソールにログインして、 SSH コマンド・ラインで以下を実行します。
openssl verify -CAfile /etc/pki/tls/cert.pem /etc/httpd/conf/certs/cert.cert

Resolving The Problem

カスタム SSL 証明書をデフォルトの QRadar 自己署名証明書へ戻す
カスタム SSL 証明書に問題が発生する場合は、自己署名証明書を戻すことで提供されているステップを実施して事象を解決することができます。

注 : カスタム SSL 証明書の問題を調査する間、デフォルトの QRadar 自己署名証明書に戻すオプションがあり、解決した後はお客様の SSL 証明書に戻すことができます。

詳細は 「 自己署名証明書を使用するために元に戻す 」 のドキュメントをご参照ください。
デフォルトの QRadar 自己署名証明書に戻さないことを選択する場合は、以下の手順を行ってください。

 SSL 証明書の内容を確認する

 SSH コマンド・ラインから下記を実行します。

openssl x509 -in /etc/httpd/conf/certs/cert.cert -text -noout
注 : 全ての証明書情報が表示されます。
    

発行者証明書を取得できない

  1.  SSH コマンド・ラインから下記を実行します。 
    openssl verify -CAfile /etc/pki/tls/cert.pem /etc/httpd/conf/certs/cert.cert

    証明書チェーンのメンバーが欠落している場合の出力 : 
    /etc/httpd/conf/certs/cert.cert
/etc/httpd/conf/certs/cert.cert: DC = <info>, DC = <info>, CN = <Subject of the previous member of the certificate chain>error 20 at 1 depth lookup:unable to get issuer certificate
  2. 下記のコマンドを実行して、ディレクトリーを確認してください。 
    ls -l /etc/pki/ca-trust/source/anchors/

     CA ( 認証局 ) のルート証明書または中間証明書 ( 該当する場合 ) が存在しない場合は、 CA が提供したルート証明書および中間証明書 ( 該当する場合 ) を /etc/pki/ca-trust/source/anchors ディレクトリーへコピーしてください。

    注 : 証明書には、 「 .cert 、 .crt 、 .pem 、または .der 」 のファイル拡張子が必要です。
     
  3. ( 任意 ) 内部 CA を使用している場合は、 SSH コマンド・ラインを経由して下記のコマンドを実行することにより、 CA トラストを更新する必要があります。 
    update-ca-trust
    この手順については 「 内部認証局によって署名された証明書を使用する 」 の資料をご参照ください。
     
  4. CA のルート証明書および中間証明書 ( 該当する場合 ) が存在しない場合。
    これらのファイルが存在しない場合は、ファイルを提供してもらうために認証局へ連絡し、提供されたファイルを /etc/pki/ca-trust/source/anchors ディレクトリーにアップロードする必要があります。
     
  5. 次のコマンドを実行して、対象の証明書が正しく照合しているか確認してください。 
    openssl verify -CAfile /etc/pki/tls/cert.pem /etc/httpd/conf/certs/cert.cert

    証明書が正しく照合する場合のコマンドの出力結果 : 
    /etc/httpd/conf/certs/cert.cert: OK

    

 SSL 証明書内で無効なサブジェクト

  1. 下記のコマンドを実行します。 
    /opt/qradar/support/recon ps

    下記の出力の場合は、 SSL 証明書内で無効なサブジェクトです。 
    Unable to communicate with API. Received error: An API error occurred. The API returned the error: Get https://<Console FQDN>/api/gui_app_framework/applications: x509: certificate is valid for <Subject within SSL certificate and alternate names (if applicable)> not <Console FQDN>
  2. コンソール FQDN を確認してください。 
    openssl x509 -in /etc/httpd/conf/certs/cert.cert -text -noout | grep -i cn | grep Subject

    出力には、証明書を照合するサブジェクトが表示されます。 
    Subject: CN=<FQDN the certificate verifies>
  3. コンソールの FQDN を確認してください。 
    /opt/qradar/bin/myver -vh

    または
      
    grep -i fqdn /opt/qradar/conf/nva.conf

    コンソール FQDN を示す出力 : 
    CONSOLE_FQDN=<Console FQDN>
  4. FQDN / サブジェクトの不整合を解決してください。
     a. 認証局へ連絡する ( 推奨 )
         コンソール FQDN に一致させるため、認証局に連絡し、 「 Subject: CN 」 で作成されている新しい証明書を要求することを推奨します。
         その後、現在の無効な SSL 証明書を新しく取得した正しい SSL 証明書に置き換える必要があります。

          詳細手順は 「 新しい SSL 証明書のインストール 」 の概要をご参照ください。
 
      b. マルチドメイン ( SAN ) SSL 証明書を作成する
           予備のドメインからコンソールへアクセスを必要とされる場合は、 SAN SSL 証明書を作成することができます。
         注 : マルチドメインの SSL 証明書は、一般の認証局を利用している場合にパブリック・ドメインにのみ適用され、非パブリック・ドメインに署名することはできません。例えば、 .local などです。

           マルチドメイン ( SAN ) SSL 証明書の手引きの概要は 「 マルチドメイン ( SAN ) SSL 証明書署名の要求を作成する 」 のドキュメントを
           ご参照ください。 
 
       c. SSL 証明書へ一致させるためにコンソール FQDN を変更する
            FQDN を変更するには、リモート・コンソールのコマンド・ラインで qchange_netsetup を実行する必要があります。 
 
          注 : qchange_netsetup コマンドを実行するには、デプロイメントからすべての管理対象ホストを削除する必要があり、
                  qchange_netsetup コマンドを実行する前に、コンソールまたは任意の管理対象ホストから高可用性をアンインストールする必要もあります。
           qchange_netsetup コマンドを実行するための前提条件の概要は
         「 オールインワン・システムでネットワーク設定を変更する 」 のドキュメントをご参照ください。

    

証明書の期限切れ

  1. SSH コマンド・ラインから下記を実行します。 
    openssl verify -CAfile /etc/pki/tls/cert.pem /etc/httpd/conf/certs/cert.cert

    出力例 : 
    /etc/httpd/conf/certs/cert.cert: C = <info>, O = <info>, CN = <Subject of the previous member of the chain>
error 10 at 0 depth lookup:certificate has expired
  2. 証明書の有効期限の確認してください。
    SSH コマンド・ラインから下記を実行します。 
    openssl x509 -in /etc/httpd/conf/certs/cert.cert -text -noout | grep -A2 Validity

    出力例 : 
    Validity
      Not Before: <Certificate issue date>
      Not After : <Certificate expiration date>

    注 : 中間証明書がインストールされている場合、中間証明書の有効期限も確認する必要があります。
     
  3. 有効期限が切れた証明書の解決手順。
    認証局に連絡し、新しい証明書バンドルを要求する必要があります。その後、新しい証明書チェーンをインストールします。

     SSL 証明書を置き換える方法は 「 新規 SSL 証明書のインストール 」 のドキュメントをご参照ください。

Document Location

Worldwide

[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"","Platform":[{"code":"PF016","label":"Linux"}],"Version":"All Versions","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
30 November 2020

UID

ibm16327457

Page Feedback